ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Worm.Win32.Hai

Clase Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de red local que se propaga en los sistemas Win32. El gusano en sí es un archivo ejecutable de Win32 de aproximadamente 60K de longitud, y está escrito en MS Visual C ++. La versión conocida del gusano está encriptada por la herramienta de protección de archivos PELock Win32 EXE.

El proceso de distribución distribuye la copia del gusano a través de una red local a las unidades que se comparten para leer / escribir. El gusano enumera los recursos de red (directorios compartidos) y busca WINDOWS allí. Si se encuentra dicho subdirectorio, el gusano se copia allí con un nombre EXE aleatorio (por ejemplo, RLITK.EXE, STNXOUL.EXE) y registra esa copia en un archivo WIN.INI, sección [windows], "Ejecutar =" comando (comando de ejecución automática). Como resultado, el gusano solo puede infectar máquinas Win9x (WinNT no usa archivos WIN.INI, sino que usa un registro en su lugar).

Al modificar el archivo WIN.INI, el gusano utiliza un archivo WIN.HAI temporal; por lo tanto, el gusano se nombra de esa manera.

El gusano también escanea la red local y otras direcciones IP. Mientras escanea, el gusano simplemente obtiene la siguiente dirección IP, intenta abrir una conexión a esa máquina y luego cierra inmediatamente la conexión y no utiliza el resultado de la conexión de ninguna manera.

El algoritmo de escaneo aparece de la siguiente manera: el gusano obtiene la dirección IP de la máquina actual como una "dirección base" y luego ejecuta dos procesos: el primero escanea todas las direcciones IP al incrementar la dirección base, y el segundo lo hace disminuyendo la base dirección.

Por ejemplo, si la IP de una máquina actual es 192.3.2.1, el gusano escaneará:

 primer proceso segundo proceso

 192.3.2.1 192.3.2.1
 192.3.2.2 192.3.1.255
 192.3.2.3 192.3.1.254
 192.3.2.4 192.3.1.253
 ... ...
 192.3.2.255 192.3.1.1
 192.3.3.1 192.2.255.255
 ... ...
 192.3.255.255 192.1.1.1
 192.4.1.1 191.255.255.255

Enlace al original